Hackers proberen de aanmeldingsgegevens van Microsoft-accounts te stelen met behulp van een slimme Google Drive-zwendel
Sommige inloggegevens zijn waardevoller dan andere, en het is niet verrassend dat de phishingaanvallen die op de belangrijke accounts zijn gericht, doorgaans veel geavanceerder en beter doordacht zijn. In januari stuitten onderzoekers van Check Point op een phishing-campagne, waarover ze pas dinsdag schreven, en ze lieten ons zien hoe moeilijk het is om de goed ontworpen aanvallen te detecteren.
Table of Contents
Oplichters probeerden de Office 365-inloggegevens van gebruikers te stelen met een slimme phishingaanval
De e-mails werden verzonden naar werknemers van organisaties die Office 365 gebruiken. Ten eerste zou het bericht het slachtoffer omleiden naar een in de cloud gehost pdf-bestand dat een link bevatte, vermoedelijk leidend tot een gedeeld document waarin de werknemer geïnteresseerd is. De link werd omgeleid naar wat ziet eruit als een SharePoint-inlogpagina die de gebruiker heeft gevraagd zich aan te melden. Ze kunnen dit doen met hun Office 365-inloggegevens of met hun organisatie-ID. Welke optie ze ook kiezen, er verschijnt een pop-up met een overtuigend ogend Microsoft-aanmeldingsformulier en alle informatie die ze erin hebben ingevoerd, wordt rechtstreeks naar de boeven gestuurd.
Als je de screenshots van Check Point doorneemt, zul je zien dat de grammaticale en spelfouten die we vaak associëren met phishing-aanvallen nergens te zien zijn. De opmaak is vrijwel precies hetzelfde als het origineel, en tijdens de hele operatie kunnen gebruikers gemakkelijk voor de gek gehouden worden dat ze echt op het punt staan in te loggen op hun Microsoft-accounts. Bovendien worden ze, zodra ze hun inloggegevens hebben ingevoerd, doorgestuurd naar een echt rapport van een wereldwijd adviesbureau, dat alles nog geloofwaardiger zou kunnen maken. Dit is niet het enige waardoor deze aanval zich onderscheidt van de rest.
De phishers maakten veel gebruik van de clouddiensten van Google
De eerste pdf die de slachtoffers zagen, werd gehost op Google Drive. De SharePoint-nabootsende pagina waarnaar het gelinkt was, was ook geüpload naar de cloudhostingservices van Google, en dat gold ook voor het kwaadwillende inlogformulier zelf.
Het is duidelijk dat het niet normaal is om een Microsoft-inlogpagina te zien die wordt gehost op een infrastructuur die eigendom is van Google, maar de oplichters wisten dat maar weinig gebruikers de adresbalk aandachtig besteden wanneer ze hun inloggegevens invoeren. Ze wisten ook dat degenen die dat wel doen, minder snel verdacht worden als ze een domein zien dat ze herkennen.
Door gebruik te maken van de services van Google slagen de phishers er ook in om nauwgezette controle te vermijden, zowel van geautomatiseerde tools als van systeembeheerders die de activiteiten van de werknemers volgen. Al met al maakte het gebruik van de cloud van Google de aanval veel waarschijnlijker.
De aanval werd georganiseerd door een groep doorgewinterde phishers
Het niveau van verfijning dat door de phishers wordt getoond, zou niet zo verrassend moeten zijn, gezien de ervaring die ze hebben. Kort nadat ze de aanval hadden ontdekt, brachten de onderzoekers Google op de hoogte en werden de kwaadaardige pagina's verwijderd. Voordat ze echter offline gingen, doorzochten de experts van Check Point de broncode en merkten op dat hoewel de pagina's werden gehost in de cloud van Google, het merendeel van de bronnen werd geladen vanuit prvtsmtp [.] Com, een extern domein.
Het domein verwijst naar een Oekraïense server die in heel wat phishingcampagnes is gebruikt. Ten eerste hostte het de kwaadaardige pagina's zelf en later maakte het deel uit van de infrastructuur tijdens aanvallen die gebruik maakten van de Azure-cloudservices van Microsoft.
De onderzoekers van Check Point hebben geholpen om een einde te maken aan de aanval die ze in januari ontdekten, maar het is onwaarschijnlijk dat ze de ervaren groep phishers die erachter staan definitief zal stoppen. Alleen de tijd zal uitwijzen wat de volgende stap van de cybercriminelen zal zijn. In de tussentijd moeten werknemers over de hele wereld extra voorzichtig zijn waar en wanneer ze hun inloggegevens invoeren.
